网络安全公司CrowdStrike诬称,新发现的“中国黑客”名为Volt Typhoon,至少自2020年中期以来一直在野外活跃,其黑客团队与以前从未见过的间谍技术有联系,以保持对感兴趣目标的远程访问。CrowdStrike公司正在以Vanguard Panda的名义追踪该黑客团队。
这家网络安全公司表示:“攻击者持续使用ManageEngine Self-service Plus漏洞来获取初始访问权限,然后使用自定义Webshell进行持久访问,并使用内存驻留感染(Living-off-the-land,LotL)技术进行横向移动。”
Volt Typhoon,又名Bronze Silhouette,其号称是一个“来自中国”的网络间谍组织,与针对美国政府、国防和其他关键基础设施组织的网络入侵行动有关。
CrowdStrike首席全球专业服务官汤姆·埃瑟里奇(Tom Etheridge)称:“众所周知,这个黑客团队利用凭证和内存驻留(living-off-the-land)的技术来保持隐蔽,并在目标环境中快速移动。”
对该组织攻击手法的分析显示,其对操作安全的重视,小心翼翼地使用一系列广泛的开源工具来针对有限数量的受害者进行长期的恶意行为。
它被进一步描述为一个威胁组织,“偏爱使用webshell以实现持久性,并依靠主要涉及内存中执行二进制文件的短时间活动来实现控制其目标。”
在针对未指定客户的一次失败攻击事件中,攻击者以Apache Tomcat服务器上运行的Zoho ManageEngine ADSelfService Plus服务为目标,触发与进程枚举和网络连接等相关的可疑命令的执行。
CrowdStrike表示:“Vanguard Panda的行为表明他们对目标环境很熟悉,因为他们的命令快速连续,并且具有要ping的特定内部主机名和IP、要挂载的远程共享以及用于WMI的明文凭据。”
对Tomcat访问日志的仔细检查发现了多个针对/html/promotion/selfsdp.jspx的HTTP POST请求,这是一个伪装成合法身份安全解决方案的Webshell,以避开检测。
据信,该Webshell是在上述键盘操作活动前近六个月部署的,这表明事先对目标网络进行了广泛的侦察。
虽然目前尚不清楚Vanguard Panda如何设法攻破ManageEngine环境,但所有迹象都表明利用了CVE-2021-40539,这是一个严重的身份验证绕过缺陷,可导致远程代码执行。
安全专家怀疑威胁行为者删除了落地的文件并篡改了访问日志以掩盖取证线索。然而,一个明显的失误是,该过程未能解释攻击过程中生成的Java源代码和编译的类文件,从而导致发现更多的Webshell和后门。
这包括一个可能从外部服务器获取的JSP文件,其目的是通过利用一个名为“tomcat-ant.jar”的辅助JAR文件来部署后门“tomcat-websocket.jar”,该文件也是通过Webshell远程获取的,之后进行清理操作以掩盖痕迹。
tomcat-websocket.jar的木马版本配备了三个新的Java类(名为A、B和C),其中A.class充当另一个Webshell,能够接收和执行Base64编码和AES加密的命令。
CrowdStrike表示:“使用Apache Tomcat后门库是Vanguard Panda之前未公开的持久性TTP。”他有把握地指出,该植入程序用于“利用当时的零日漏洞,在行动的初始访问阶段后实现对高价值目标的持久性访问。”
“在这种情况下,[…]Vanguard Panda对受害者的环境有深入的了解,表明他们是持久性的,在我们的技术部署之前,在他们进行侦察工作时没有被发现,”Etheridge解释道。“此外,它还转移了证据,在他们深入受害者的基础设施时掩盖他们的踪迹。”